点评曾经的盗号神器，qq密码破译神器是什么原理？

qq密码破译神器：qq大盗，qq神器是怎么偷密码的？

曾经qq盗号木马泛滥，可以说几乎每个人都被盗过号，后来腾讯出了各种打击方法进行打击，包括推出腾讯电脑管家，qq安全登录，qq安全中心，还有保护账号的至尊宝等，今天小风就来告诉大家曾经的qq盗号木马都是怎么盗号的。qq神器偷密码软件原理

qq大盗软件泛滥，人人都能轻松盗号

在以前的qq群里，你随便下载一个群文件都可能导致自己被盗号，因为各种各样的软件，即使显示正常，其中也可能捆绑着盗号木马，当时qq大盗盛行，不少人开发了此类软件，原理非常简单，只要你填写个收信的qq邮箱，或者用网页收信，然后生成木马即可，当别人打开木马时，桌面的qq就会被替换成高仿qq登录界面的盗号木马，相似度100%，根本无法辨认，填写的账号密码会发到qq邮箱，小风曾经就开发过类似的软件，至今还有之前的软件截图，但是2013年后开始认识到此类软件危害的严重性，便马上关停自己的软件。

通过邮箱收信

为什么现在很少看到qq大盗呢？

曾经的盗号神器，为什么会退出江湖，小风认为有几个主要原因。

1、pc时代谢幕，如今百分之90的在线用户使用的都是手机，导致此类软件没有施展空间。

2、杀毒软件的进步导致病毒免杀困难，容易被查杀。

3、盗号者研究更高深的盗号技术，撞库，网页钓鱼等方式。

当然利用同样的原理，还可以制作出诱导软件，比如下面的刷钻软件和刷枪软件，曾经在各种qq群里时不时看到有人上传，你还有印象吗？

你曾经在网上想找各种刷东西的软件，毫无例外，最后自己的号都被盗了，这些软件都是空壳软件，软件背后的代码，都在想着怎么获取你的密码，怎么在你电脑上植入更多病毒。

这个刷枪软件还能充值积分？看起来不像是假的啊

不好意思，这种软件不仅盗你的号，还要要骗你的钱！

虽然以上的盗号方法成为历史，但是我们仍然随时可能被盗号，例如

1、在某平台注册了账号，那个平台数据库却被黑客拿了，通过同样的密码登录了我其他平台的账号，躺着也中抢。

2、qq上时不时有人说他看到了以前我和同学的照片，让他哈哈大笑，要我点进去他发的链接看看。

3、安全意识不到位，经常访问些乱七八糟的网站，经常下载些来历不明的软件，容易轻信别人

科普一下，盗号者盗的一批号，称为qq信封，现在仍有网站在出售，各种黑产群也经常有人交易，暗网更是泛滥（数据库信息比较多）

ok，如果你仍然要找什么qq盗号神器来偷密码，那很有可能自己先中毒或被盗号。

了解更多

了解讨论网络安全和领取网络安全的学习资料“关注”并私信“资料”免费领取

盗号软件导演的一场盗号骗局

导读：生物学上病毒侵入的细胞就叫宿主细胞，而病毒则借助宿主的蛋白质和其他物质制造自己的身体，由于控制细胞增殖的结构基因发生突变，调节系统对它失去控制，结果就会造成细胞无限的增殖。生物学病毒侵入细胞的过程是吸附—植入—复制—分裂—然后不停的复制，那么互联网上的病毒又是如何进行侵入和增殖传播的呢？

一、伪装与传播概述

近期，暗影实验室在移动终端上发现一款病毒软件，初看之下是一款老生常谈的QQ盗号软件，通过输入要获得密码的QQ号，一键进行密码盗取。但经过安全人员的分析，发现它是醉翁之意不在酒，表面是QQ盗号，其实际是进行第三方病毒的传播与推广，其传播方式是几何级的增长，类似生物学上癌变细胞的增殖，我们称之为“宿主”。

二、宿主与病毒的增殖公式

此款“宿主”软件，它最大的特点在于其推广扩散速度，造成的影响也是十分恶劣。经研究，我们对其推广的流程做出详细分析和演算设定基数的推算公式。

从一个“宿主”软件出发，设定1个用户被骗，此用户会直接从“宿主”推广中下载1个病毒软件；之后此用户为了查看破解成功的密码，进行了10个QQ群的分享；在群分享信息中，包含了病毒推广群的信息，以最小基数设定，假设每个分享群中有1个用户进入了病毒群；在每个病毒推广群消息“邀10人进群给50元”中，有1人受骗，邀了10人进群；在每个病毒推广群文件中平均有2个不同变种的“宿主”软件和2个病毒软件，从1人受骗，到10个分享群每个1人受骗，再到病毒推广群每群1人受骗邀请10人进群，共受骗人数合计111，病毒和“宿主”使用次数444人次。看似数字很小，但是在这个流程推算中，我们一直假设的是最小基数1。为了更直观的看到它的传播途径和扩散量，下面使用简单的流程图进行表示，如图2-1所示：

三、宿主解剖

“宿主”软件的分析，可以从两个方面入手，一是其伪装成QQ盗号的软件，欺骗用户使用和分享，具有诱骗欺诈行为；二是其利用色情信息诱导用户下载病毒软件，进入传播QQ群，具有流氓行为。自监测到此“宿主”软件至今，它已有多个病毒变种，以下分析以原病毒为主，变种病毒为辅助补充。

3.1 撕下QQ盗号的面纱

该软件利用有不正之心的人的心理，使用多种手段，伪装成QQ盗号软件，通过诱导和欺骗的方式使用户下载和推广病毒软件，以下对其如何进行诱骗欺诈从软件交互和代码实现双管齐下进行解析。

用户进入软件后，首先收到类似免责声明或善意提醒的通知，实则表明软件功能，诱导用户使用。其运行首页，如图3-1所示：

图3-1 首页提示

为了打消用户的顾虑，获取用户的信任，使用欺骗手段，利用技术制造随机生成的隐匿扣扣号破解成功的轮播消息。虚假轮播破解成功消息的软件交互界面和实现源码，如图3-2、图3-3所示：

图3-2虚假轮播破解成功消息的软件交互界面

图3-3虚假轮播破解成功消息的实现源码

随后我们使用测试号试用一下，会发现在进度日志框中，正在“加载腾讯QQ漏洞封包模块”、“加载腾讯QQ密码破解脚本”、“检测腾讯QQ服务器端口”……，那么是否真的如它所说，在执行这些操作呢，我们进入源码一探，发现这其实也是一种诱诈欺骗。虚假操作日志软件交互界面和实现源码，如图3-3、图3-4所示：

图3-3虚假操作日志软件交互界面

图3-4虚假操作日志实现源码

接下来的事乍看之下更加令人震惊，如果不是一名技术人员，真的要被骗了，等密码显示已破解成功时，密码为**********，虽然密码看不到，但是我们的头像已经赫然显示了出来，怀着质疑的心理我们继续扒代码，结局也是无比震惊。它使用了某厂的获取头像的api接口http://**.***.**/headimg_dl，在此也希望为了用户的隐私安全，能够对其采取一定的安全防护措施。获取QQ头像的软件交互界面和实现源码，如图3-5、图3-6所示：

图3-5获取QQ头像的软件交互界面

图3-6获取QQ头像的实现源码

在显示破解成功之后，为了进一步获取用户的信任，软件假意尝试登录QQ,用户看来，它会打开QQ,进行登录操作，发现真的提示登录成功了。作为技术人员的我依旧不信，来到源码中，我发现所为的打开扣扣登录，不过是加载提前准备好的QQ登录界面为背景，将你要破解的QQ显示在上面，为了大家一眼看破它的骗术，这里将手机的开发者选项中显示布局边界模式打开。QQ登录界面和应用资源文件，如图3-7所示：

图3-7 QQ登录界面和应用资源文件

3.2 宿主的增殖

该“宿主”软件，其真实目的是在于传播病毒软件，虽然伪装成QQ盗号，测试登录成功，但用户是不可能看到QQ内部信息的，上面也说过了。当你真的相信它能够获取QQ密码之后，它就开始了自己的计划。先后通过诱导用户QQ群分享，下载安装色情软件，之后进行QQ群内分发等进行着“宿主”和病毒软件的爆炸式增殖。

首先，提示密码获取成功之后，用户看到的是*字符，软件提示用户，如果需要获取密码，则必须分享信息到10个不同的QQ群，诱导分享的软件交互界面，如图3-8所示：

图3-8诱导分享的软件交互界面

我们尝试进行分享，分享的信息中不是此软件的使用信息，而是诱导用户进入某个扣扣群的信息，在对源码分析时，我们可以发现它的多个QQ群号码。分享信息QQ群，如图3-9所示：

图3-9分享信息QQ群

在最新版的病毒源码中，我们无法直接获取分享推广的QQ群，因为它从服务器动态的获取，通过分析我们获取到它的服务器地址是http://www.******.cn/j.txt，抓取协议包内容，得到分享信息QQ群，如图3-10所示：

图3-10 服务器分享QQ群信息

得到它大量的推广QQ 群之后，我们伪装成受骗用户，加入群聊，看到它在不断的诱导用户分享和使用“宿主”软件和病毒软件，下面是病毒推广QQ群602***462的共享群文件，如图3-11所示：

图3-11共享群文件

其次，除了上面诱导用户获取破解成功的QQ 密码进行分享拉人进群，之后再进行传播之外，“宿主”软件本身也集成了动态的推广下载功能，它使用色情信息为诱因，诱导用户进行下载和使用病毒软件，诱导用户进行下载的伪装色情信息软件交互界面，如图3-12所示：

图3-12 伪装色情信息软件交互界面

经过研究和测试，发现用户点击下载之后，并不能时常如愿，下载得到的病毒软件可能是色情软件，也可能是游戏类软件等，它的下载地址是动态的从服务器端获取得到的，通过技术手段得到它的服务器地址是http://www.******.cn/1.txt和备用地址http://www.******.top/1.txt，获取协议包的内容，可以获取推广病毒软件的下载地址http://store.*****.com/apk/self/tytan0605111.apk，此病毒下载地址为动态的变化地址，一般根据响应体中的应用名变化，如图3-13所示：

图3-13 推广病毒软件的下载地址

四、推广病毒查杀

在利益的驱使下，“宿主”软件经过不断的变型和更新，它推广的病毒也在不断的增加，从色情类到游戏类，从色情推广到私自发送短信订制扣费业务，它的恶意也是不断的传播开来。在此，我们对其具有代表性的推广病毒进行恶意行为研判和主要恶意行为的简单分析。

我们分析一款名称为“宅男福利社”的推广软件，经过研究人员研判，该软件主要具有以下主要恶意行为。软件运行后，请求发送短信，删除短信，获取联系人等权限，之后私自发送短信订制扣费业务，具有恶意扣费属性；软件运行期间，监听用户短信，获取用户联系人和电话，具有隐私窃取属性。

4.1 恶意扣费

软件运行时，得到发送和删除短信的权限后，开启疯狂发送订购短信的模式，发送短信的交互界面与手机短信箱，如图4-1所示：

图4-1发送短信的交互界面与手机短信箱

之后我们通过抓取协议包，可以看到它的发送内容和主控地址http://***.***.***/index.php/API/UrlPlus/soid/8mh1gvqpckgnvsE8ptalAnEe，如图4-2所示：

图4-2 发送内容和主控地址

最后我们计入源码，发现发送短信的地方很多，这里我们取其中一处，如图4-3所示：

图4-3 发送短信

4.2 隐私窃取

软件运行后，私自监听用户短信，获取用户设备信息和电话号码。

Android中监听用户短信，一般需要申请权限—注册广播接收者—监听解析短信内容，这里我们只做简单分析，从源码中获取到短信监听的恶意代码，如图4-4所示：

图4-4 短信监听

获取用户设备信息和电话号码，如图4-5所示：

图4-5获取用户设备信息和电话号码

五、寻根问底

如果要做到病毒的下载推广，信息的动态获取，必定依赖于服务器，针对病毒软件中的服务器地址和备用地址，我们对注册域名者进行溯源追踪，为了信息安全，我们对所有敏感信息进行了技术处理。“宿主”软件中主要有两个域名，分别是t******.cn和p***.top；推广病毒服务器下载地址的域名主要是q******-***.com。下面我们对三个域名分别进行whois查询。

域名t******.cn反查结果，如图5-1所示：

图5-1 t******.cn反查结果

域名p***.top反查结果，如图5-2所示：

图5-2 p***.top反查结果

域名q******-***.com反查结果，如图5-3所示：

图5-3 q******-***.com反查结果

六、安全建议

鉴于其爆炸式的传播方式，用户发现此类应用或疑似应用，应立即终止传播并向安全检测软件进行举报，以防更多用户被骗。

建议用户提高警觉性，使用软件请到官网下载。到应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害。

安全需要做到防患于未然，用户发现感染手机病毒软件之后，可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报，使病毒软件能够第一时间被查杀和拦截。

QQ发生大规模丢号，用户账号扫码被盗？并再以“扫码”传播黑产

近日，有大量用户通过社交平台反馈称，自己或朋友的QQ号出现被盗号的情况，收到多个朋友发来的不良图片！

被盗的QQ号会发送附着链接的淫秽图片消息，当受害者将所附链接用浏览器打开的时候，犯罪分子的电脑可能启动脚本进一步盗取受害者信息，如果不幸中招了，大家要谨慎处理。

随着越来越多的用户进行反馈，腾讯官方注意到了这次丢号非小概率事件，而是大规模的群体丢号，并在丢号的记录里查证到同一黑产的不雅内容，随即着手开展了缜密的技术调查与安全修复，并迅速作出了回应：

腾讯QQ官微发布声明称：QQ安全团队高度重视并立即展开调查，发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录 ，该登录行为被黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。

黑科技“二维码”如今已到被滥用的程度

二维码这个东西，我虽然没有证据证明它和QR code的关系，但是日本QR code发明出来之后，一直都没有得到大规模运用。

QQ的前身来自以色列的三个年轻人维斯格、瓦迪和高德芬格聚在一起上决定开发一种软件，二维码的前身是来自 QR Code 码，是由Denso公司于1994年9月研制的一种矩阵二维码符号，它具有一维条码及其它二维条码所具有的信息容量大、可靠性高、可表示汉字及图象多种文字信息、保密防伪性强等优点。

有趣的是，QQ和QR只在中国得到了梦幻般的发展，一个霸占了社交类软件的一个时代，一个促进了中国社会的全方面民生便利操作。

而微信更是集前三者的大成，进化成了现在人手必备的手机APP。

二维码的攻击手段

攻击者打开QQ PC端，PC端提示一个扫描登录的二维码攻击者识别二维码将二维码转化为网址攻击者选定一个钓鱼用的网站，提示用户请使用QQ扫码登录，将第二步得到的网址重新转化为二维码展示在网站上。 也可以使用伪造的QQ客户端。这意味着，被攻击用户扫描的二维码，其实是攻击者打开的QQ PC端上的二维码 用户此时扫码后应该提示“您正在登录QQ PC客户端”，而并非用户打开的网站，但用户很可能直接忽略了相关的提示并进行了确认攻击者的QQ PC端现在登录了被攻击者的账号

（规避以上技术骗局的基础常识是务必仔细确认登录前的提示信息，看提示的登录类型和要登录的网站是否和提示的一致，这就类似于诈骗电话，只要你不接陌生来电，比其他任何办法都管用，遇到不明的二维码，不扫就是终极防御。 ）

强迫扫码是把双刃剑

现在越来越多的日活操作需要用户举起手机去扫码，甚至是一种强迫性的，例如微信在电脑端也是不可以用密码登陆，强制扫码，如果忘记带了工作机，把工作机忘在了家里，那你就要返程去取了，对于北上广来回上下班需要几个小时的工作者来说，也挺无奈的。

言归正传

不知道为何，腾讯此次修复与回应，不但没有落好，反而收到的是QQ用户的不满与发泄。

在该微博下方，不少网友评论称自己QQ被盗，“背了好大一口锅”。

知乎上几乎清一色的再说腾讯将盗号风波甩锅给用户自己不小心，但实际用户不小心的确也是事实，但用户们也在用同样的方式“回敬”腾讯，那就是：“是你们腾讯非要强制二维码登陆的，所以各有责任。”

要让我说，先不说到底是官方安全技术的责任，还是用户自己‘有眼无珠’的失误，游戏使人麻木，是一定的，但也是因为用户已经非常相信了各大互联网企业，完全怪腾讯，不实际，完全怪用户不小心，也不实际，因为用户是出于对QQ的信任，而不是每次登陆还要拿着放大镜仔细参考。

某呼平台出现了一条“蓝帖”：

借由此事的发酵，开始有人刨腾讯的发家史。

丢号与没丢号的，都站在了一边，没丢号的也参与了进来……声讨？

为什么？

因为“网络安全”的协议书。

现在的普罗大众出于使用的刚需，和对平台的信任，或者是实在无暇去读那如论文一般长的用户使用协议，在下载APP和使用某些功能的时候，都会直接点“同意”或“已阅读”。

但实际上，我认为99%的普通人根本不看，因为没办法点“拒绝”，一旦拒绝，就无法使用。

用户角度：

在被TX奉为至高安全方案的“手机验证”，被一个小小的“不法分子伪造的游戏登录二维码”就给破了， 合着TX花了这么多力气去定位用户的手机号、手机、电脑。花了这么多力气绑定用户的指纹、脸部等生物信息，花了这么多力气收集了十几亿中国用户的详细信息，到最后连安全保障都没有，那所谓的“网络安全”到底是防火墙还是监视器？这是用户因此事件而心态爆炸的最根本原因。

毕竟根据用户协议，QQ号属于TX公司，用户使用不当其实是用户的责任，TX公司可以起诉用户，因此前天账户被别人“盗号”使用的各位，其实是蒙了TX的大恩才没有被起诉吃官司吗？正是因为这个的逻辑，才让TX用户感到不喜。

总结：

互联网、垄断级互联网企业出台的霸王条款，才是此次事件发酵剧烈的根源，原本是这个时代会经常出现的事件，但却能引起轩然大波，互联网，有时候真的让人敬畏！我说的这个敬畏不全是褒义词。

不论如何，请各位沉迷各种软件和游戏的低头族，能早日回归健康生活。